Worm:Win32/Vobfus.VY

CH azonosító

CH-10146

Angol cím

Worm:Win32/Vobfus.VY

Felfedezés dátuma

2013.12.10.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

Worm:Win32/Vobfus.VY a Win32/Vobfus családjába tartozó féreg ami cserélhető illetve hálózati meghajtókon terjeszkedik, képes letölteni és futtattni tetszőleges fájlokat.

Leírás

Létrehozza a következő állományokat:

  •     c:documents and settingsadministratorpasswords.exe
  •     c:documents and settingsadministratorporn.exe
  •     c:documents and settingsadministratorsecret.exe
  •     c:documents and settingsadministratorsexy.exe
  •     c:documents and settingsadministratorwuaobah.exe
  •     c:documents and settingsadministratorcpasswords.exe
  •     c:documents and settingsadministratorcporn.exe
  •     c:documents and settingsadministratorcsecret.exe
  •     c:documents and settingsadministratorcsexy.exe
  •     c:documents and settingsadministratorrcx10.tmp
  •     c:documents and settingsadministratorrcx11.tmp
  •     c:documents and settingsadministratorrcx12.tmp
  •     c:documents and settingsadministratorrcx13.tmp
  •     c:documents and settingsadministratorrcx14.tmp
  •     c:documents and settingsadministratorrcx15.tmp
  •     c:documents and settingsadministratorrcx16.tmp
  •     c:documents and settingsadministratorrcx17.tmp
  •     c:documents and settingsadministratorrcx18.tmp
  •     c:documents and settingsadministratorrcx19.tmp
  •     c:documents and settingsadministratorrcx1a.tmp
  •     c:documents and settingsadministratorrcx1b.tmp
  •     c:documents and settingsadministratorrcx1c.tmp
  •     c:documents and settingsadministratorrcx1d.tmp
  •     c:documents and settingsadministratorrcx1e.tmp
  •     c:documents and settingsadministratorrcx1f.tmp
  •     c:documents and settingsadministratorrcx20.tmp
  •     c:documents and settingsadministratorrcx21.tmp
  •     c:documents and settingsadministratorrcx22.tmp
  •     c:documents and settingsadministratorrcx23.tmp

Cserélhető, illetve hálózati meghajtókra másol fájlokat az alábbiak szerint:

  • <targeted drive>:passwords.exe
  • <targeted drive>:porn.exe
  • <targeted drive>:secret.exe
  • <targeted drive>:sexy.exe
  • <targeted drive>:subst.exe
  • <targeted drive>:wuaobah.exe

A fertőzött meghajtók gyökérkönytárában létrehoz egy autorun.inf fájlt, ami lehetővé teszi, hogy csatlakozáskor felhasználói beavatkozás nélkül tudjon elindulni.

Csatlakozik ns1.dateback1.com szerverhez a 7001 porton keresztül:

  • Jelentést tesz az új fertőzésről
  • Konfigurációs és egyéb adatok tölt le
  • További kártékony szoftvert tölt le
  • További utasításokat vár egy távoli személytől
  • Adatokat tölt fel a számítógépről

 

 

Megoldás

Ismeretlen

Megoldás

Naprakész vírusító telepítése.

Hivatkozások

Gyártói referencia: www.microsoft.com